다양한 Cisco 및 비 Cisco 디바이스의 TACACS+ 및 RADIUS 특성 컨피그레이션 예

소개

이 문서에서는 다양한 Cisco 및 타사 제품이 AAA(Authentication, Authorization, and Accounting) 서버에서 수신할 것으로 예상되는 특성의 컴파일을 제공합니다.이 경우 AAA 서버는 ACS(Access Control Server)입니다. ACS는 셸 프로파일(TACACS+) 또는 권한 부여 프로파일(RADIUS)의 일부로 Access-Accept와 함께 이러한 특성을 반환할 수 있습니다.

이 문서에서는 셸 프로파일 및 권한 부여 프로파일에 사용자 지정 특성을 추가하는 방법에 대한 단계별 지침을 제공합니다.또한 이 문서에는 디바이스가 AAA 서버에서 반환될 것으로 예상되는 디바이스 및 TACACS+ 및 RADIUS 특성 목록이 포함되어 있습니다.모든 주제에는 예제가 포함됩니다.

이 문서에서 제공하는 속성 목록은 완전하거나 신뢰할 수 없으며 이 문서를 업데이트하지 않으면 언제든지 변경할 수 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 ACS 버전 5.2/5.3을 기반으로 합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

셸 프로파일 생성(TACACS+)

셸 프로파일은 TACACS+ 기반 액세스를 위한 기본 권한 컨테이너입니다.Cisco® IOS 권한 레벨, 세션 시간 초과 및 기타 매개변수 외에 Access-Accept와 함께 반환해야 하는 TACACS+ 특성 및 특성 값을 지정할 수 있습니다.

새 셸 프로필에 사용자 지정 특성을 추가하려면 다음 단계를 완료합니다.

1. ACS 인터페이스에 로그인합니다.

2. Policy Elements(정책 요소) > Authorization and Permissions(권한 부여 및 권한) > Device Administration(디바이스 관리) > Shell Profiles(셸 프로파일)로 이동합니다.

3. Create(생성) 버튼을 클릭합니다.

4. 셸 프로파일 이름을 지정합니다.

5. Custom Attributes 탭을 클릭합니다.

6. 속성 필드에 속성 이름을 입력합니다.

7. 요구 사항 드롭다운 목록에서 요구 사항이 필수 또는 선택 사항인지 선택합니다.

8. 속성 값의 드롭다운을 Static으로 설정합니다.값이 static이면 다음 필드에 값을 입력할 수 있습니다.값이 dynamic이면 특성을 수동으로 입력할 수 없습니다.대신 특성 특성은 ID 저장소 중 하나의 속성에 매핑됩니다.

9. 마지막 필드에 속성 값을 입력합니다.

10. 테이블에 항목을 추가하려면 Add(추가) 버튼을 클릭합니다.

11. 필요한 모든 특성을 구성하려면 이 단계를 반복합니다.

12. 화면 하단의 Submit(제출) 버튼을 클릭합니다.

컨피그레이션 예시

장치:ACE(Application Control Engine)

특성: 셸:<context-name>

값: <역할 이름> <도메인 이름1>

사용법:역할과 도메인은 공백 문자로 구분됩니다.사용자가 컨텍스트(예: C1)에 로그인할 때 역할(예: ADMIN) 및 도메인(예: MYDOMAIN)을 할당하도록 사용자(예: USER1)를 구성할 수 있습니다.

RADIUS(Authorization Profile) 생성

권한 부여 프로파일은 RADIUS 기반 액세스를 위한 기본 권한 컨테이너입니다.VLAN, ACL(Access Control Lists) 및 기타 매개변수 외에 Access-Accept와 함께 반환해야 하는 RADIUS 특성 및 특성 값을 지정할 수 있습니다.

새 권한 부여 프로파일에 사용자 지정 특성을 추가하려면 다음 단계를 완료합니다.

1. ACS 인터페이스에 로그인합니다.

2. Policy Elements(정책 요소) > Authorization and Permissions(권한 부여 및 권한) > Network Access(네트워크 액세스) > Authorization Profiles(권한 부여 프로파일)로 이동합니다.

3. Create(생성) 버튼을 클릭합니다.

4. 권한 부여 프로파일의 이름을 지정합니다.

5. RADIUS Attributes(RADIUS 특성) 탭을 클릭합니다.

6. Dictionary Type 드롭다운 메뉴에서 사전을 선택합니다.

7. RADIUS Attribute 필드의 특성 선택을 설정하려면 Select(선택) 버튼을 클릭합니다.새 창이 나타납니다.

8. 사용 가능한 특성을 검토하고 원하는 속성을 선택한 다음 확인을 클릭합니다.속성 유형 값은 방금 선택한 속성에 따라 기본적으로 설정됩니다.

9. 속성 값의 드롭다운을 Static으로 설정합니다.값이 static이면 다음 필드에 값을 입력할 수 있습니다.값이 dynamic이면 특성을 수동으로 입력할 수 없습니다.대신 특성 특성은 ID 저장소 중 하나의 속성에 매핑됩니다.

10. 마지막 필드에 속성 값을 입력합니다.

11. 테이블에 항목을 추가하려면 Add(추가) 버튼을 클릭합니다.

12. 필요한 모든 특성을 구성하려면 이 단계를 반복합니다.

13. 화면 하단의 Submit(제출) 버튼을 클릭합니다.

컨피그레이션 예시

장치:ACE

특성: cisco av 쌍

값: 셸:<context-name>=<role-name> <domain-name1> <domain-name2>

사용법:등호 뒤에 오는 각 값은 공백 문자로 구분됩니다.사용자가 컨텍스트(예: C1)에 로그인할 때 역할(예: ADMIN) 및 도메인(예: MYDOMAIN)을 할당하도록 사용자(예: USER1)를 구성할 수 있습니다.

장치 목록

ASR(Aggregation Services Router)

RADIUS(권한 부여 프로파일)

특성: cisco av 쌍

값: 셸:tasks="#<role-name>,<권한>:<프로세스>"

사용법:<role-name> 값을 라우터에 로컬로 정의된 역할의 이름으로 설정합니다.역할 계층 구조를 트리의 맨 위에 #root 역할이 있고 #leaf 역할이 추가 명령을 추가하는 트리에 대해 설명할 수 있습니다.다음과 같은 경우 이 두 역할을 결합하여 전달할 수 있습니다.셸:tasks="#root,#leaf".

또한 권한을 개별 프로세스 기준으로 다시 전달하여 특정 프로세스에 대한 읽기, 쓰기 및 실행 권한을 사용자에게 부여할 수 있습니다.예를 들어, bgp 프로세스에 대한 읽기 및 쓰기 권한을 사용자에게 부여하려면 값을 다음으로 설정합니다.shell:tasks="#root,rw:bgp". 속성의 순서는 중요하지 않습니다.값은 shell:tasks="#root,rw:bgp"로 설정되는지 아니면 또는 or shell:tasks="rw:bgp,#root"으로 설정되었는지와 동일합니다.

cisco-av-pair

shell:tasks="#root,#leaf,rwx:bgp,r:ospf"

ACE(Application Control Engine)

TACACS+(셸 프로파일)

특성: 셸:<context-name>

값: <역할 이름> <도메인 이름1>

사용법:역할과 도메인은 공백 문자로 구분됩니다.사용자가 컨텍스트(예: C1)에 로그인할 때 역할(예: ADMIN) 및 도메인(예: MYDOMAIN)을 할당하도록 사용자(예: USER1)를 구성할 수 있습니다.

shell:C1

Admin MYDOMAIN

USER1이 C1 컨텍스트를 통해 로그인하면 해당 사용자에게 ADMIN 역할 및 MYDOMAIN 도메인이 자동으로 할당됩니다. 단, USER1이 로그인하면 해당 사용자에게 이 권한 부여 프로파일이 할당됩니다.

USER1이 ACS가 다시 전송하는 특성 값으로 반환되지 않는 다른 컨텍스트를 통해 로그인하면 해당 사용자에게 기본 역할(Network-Monitor) 및 기본 도메인(기본 도메인)이 자동으로 할당됩니다.

RADIUS(권한 부여 프로파일)

특성: cisco av 쌍

값: 셸:<context-name>=<role-name> <domain-name1> <domain-name2>

사용법:등호 뒤에 오는 각 값은 공백 문자로 구분됩니다.사용자가 컨텍스트(예: C1)에 로그인할 때 역할(예: ADMIN) 및 도메인(예: MYDOMAIN)을 할당하도록 사용자(예: USER1)를 구성할 수 있습니다.

cisco-av-pair

shell:C1=ADMIN MYDOMAIN

USER1이 C1 컨텍스트를 통해 로그인하면 해당 사용자에게 ADMIN 역할 및 MYDOMAIN 도메인이 자동으로 할당됩니다. 단, USER1이 로그인하면 해당 사용자에게 이 권한 부여 프로파일이 할당됩니다.

USER1이 ACS가 다시 전송하는 특성 값으로 반환되지 않는 다른 컨텍스트를 통해 로그인하면 해당 사용자에게 기본 역할(Network-Monitor) 및 기본 도메인(기본 도메인)이 자동으로 할당됩니다.

BlueCoat 패킷 쉐이퍼

RADIUS(권한 부여 프로파일)

특성: 패킷-AVPair

값: access=<level>

사용법: <level>은 부여할 액세스 수준입니다.터치 액세스는 읽기/쓰기와 동일하지만 조회 액세스는 읽기 전용과 같습니다.

기본적으로 BlueCoat VSA는 ACS 사전에 없습니다.권한 부여 프로파일에서 BlueCoat 특성을 사용하려면 BlueCoat 사전을 만들고 BlueCoat 특성을 해당 사전에 추가해야 합니다.

사전 생성:

1. System Administration(시스템 관리) > Configuration(컨피그레이션) > Dictionaries(사전) > Protocols(프로토콜) > Protocols(RADIUS ​ > RADIUS VSA)로 이동합니다.

2. Create를 클릭합니다.

3. 사전 세부 정보를 입력합니다.

   • 이름:블루코트

   • 공급업체 ID:2334

   • 특성 접두사:패키지 -

4. Submit(제출)을 클릭합니다.

새 사전에서 특성을 만듭니다.

1. System Administration(시스템 관리) > Configuration(컨피그레이션) > Dictionaries(사전) > Protocols(프로토콜) > Protocols(RADIU S) > RADIUS VSA > BlueCoat로 이동합니다.

2. Create를 클릭합니다.

3. 속성의 세부 정보를 입력합니다.

   • 특성:패킷-AVPair

   • 설명:액세스 수준을 지정하기 위해 사용됨

   • 판매업체 특성 ID:1

   • 방향:아웃바운드

   • 다중 허용:거짓

   • 로그에 특성 포함:선택

   • 특성 유형:문자열

4. Submit(제출)을 클릭합니다.

Packeteer-AVPair

access=look

Packeteer-AVPair

access=touch

Brocade 스위치

RADIUS(권한 부여 프로파일)

특성: Tunnel-Private-Group-ID

값:U:<VLAN1>;T:<VLAN2>

사용법:<VLAN1>을 데이터 VLAN 값으로 설정합니다.<VLAN2>를 음성 VLAN 값으로 설정합니다.이 예에서 데이터 VLAN은 VLAN 10이고 음성 VLAN은 VLAN 21입니다.

Tunnel-Private-Group-ID

U:10;T:21

Cisco Unity Express(CUE)

RADIUS(권한 부여 프로파일)

특성: cisco av 쌍

값: fndn:groups=<group-name>

사용법:<group-name>은 사용자에게 부여할 권한을 가진 그룹의 이름입니다.이 그룹은 Cisco Unity Express(CUE)에서 구성해야 합니다.

cisco-av-pair

fndn:groups=Administrators

인포블록

RADIUS(권한 부여 프로파일)

특성: Infoblox-Group-Info

값: <그룹 이름>

사용법: <group-name>은 사용자에게 부여할 권한을 가진 그룹의 이름입니다.이 그룹은 Infoblox 디바이스에서 구성해야 합니다.이 구성 예에서 그룹 이름은 MyGroup입니다.

Infoblox VSA는 기본적으로 ACS 사전에 없습니다.권한 부여 프로파일에서 Infoblox 특성을 사용하려면 Infoblox 사전을 만들고 Infoblox 특성을 해당 사전에 추가해야 합니다.

사전 생성:

1. System Administration(시스템 관리) > Configuration(컨피그레이션) > Dictionaries(사전) > Protocols(프로토콜) > RADIU S(RADIU ​ S) > RADIUS VSA로 이동합니다.

2. Create를 클릭합니다.

3. Use Advanced Vendor Options(고급 공급업체 옵션 사용) 옆의 작은 화살표를 클릭합니다.

4. 사전 세부 정보를 입력합니다.

   • 이름:인포블록

   • 공급업체 ID:7779

   • 판매업체 길이 필드 크기:1

   • 공급업체 유형 필드 크기:1

5. Submit(제출)을 클릭합니다.

새 사전에서 특성을 만듭니다.

1. System Administration(시스템 관리) > Configuration(컨피그레이션) > Dictionaries(사전) > Protocols(프로토콜) > Protocols(RADIU S) > RADIUS VSA > Infoblox(RADIUS VSA VLOX)로 이동합니다.

2. Create를 클릭합니다.

3. 속성의 세부 정보를 입력합니다.

   • 특성:Infoblox-Group-Info

   • 판매업체 특성 ID:009

   • 방향:아웃바운드

   • 다중 허용:거짓

   • 로그에 특성 포함:선택

   • 특성 유형:문자열

4. Submit(제출)을 클릭합니다.

Infoblox-Group-Info

MyGroup

IPS(Intrusion Prevention System)

RADIUS(권한 부여 프로파일)

특성: ips 역할

값: <역할 이름>

사용법:값 <role name>은 4개의 IPS(Intrusion Prevention System) 사용자 역할 중 하나가 될 수 있습니다.뷰어, 운영자, 관리자 또는 서비스각 사용자 역할 유형에 부여된 권한에 대한 자세한 내용은 사용 중인 IPS 버전의 컨피그레이션 가이드를 참조하십시오.

• Cisco Intrusion Prevention System Device Manager Configuration Guide for IPS 7.0

• Cisco Intrusion Prevention System Device Manager Configuration Guide for IPS 7.1

cisco-av-pair

ips-role:administrator

주니퍼

TACACS+(셸 프로파일)

특성:allow-commands;allow-configuration;local-user-name;deny-commands;deny-configuration;사용자 권한

값: <allow-commands-regex>;<allow-configuration-regex>;<local-username>;<deny-commands-regex>;<deny-configuration-regex>

사용법:<local-username>의 값(즉, local-user-name 특성의 값)을 Juniper 디바이스에 로컬로 존재하는 사용자 이름으로 설정합니다.예를 들어, local-user-name 특성의 값을 JUSER로 설정할 때 Juniper 디바이스에 로컬로 존재하는 사용자(예: JUSER)와 동일한 사용자 템플릿을 할당하도록 사용자(예: USER1)를 구성할 수 있습니다.allow-commands, allow-configuration, deny-commands 및 deny-configuration 특성의 값은 regex 형식으로 입력할 수 있습니다.이러한 특성이 설정되는 값은 사용자의 로그인 클래스 권한 비트에서 권한을 부여한 operational/configuration mode 명령 외에 추가로 사용됩니다.

allow-commands

"(request system) | (show rip neighbor)"

allow-configuration

local-user-name

sales

deny-commands

"<^clear"

deny-configuration

allow-commands

"monitor | help | show | ping | traceroute"

allow-configuration

local-user-name

engineering

deny-commands

"configure"

deny-configuration

Nexus 스위치

RADIUS(권한 부여 프로파일)

특성: cisco av 쌍

값: 셸:roles="<role1> <role2>"

사용법:<role1> 및 <role2>의 값을 스위치에 로컬로 정의된 역할 이름으로 설정합니다.여러 역할을 추가할 때 공백 문자로 구분합니다.여러 역할이 AAA 서버에서 Nexus 스위치로 다시 전달되면 사용자는 세 역할 모두의 결합으로 정의된 명령에 액세스할 수 있습니다.

기본 제공 역할은 Configuring User Accounts and RBAC에 정의되어 있습니다.

cisco-av-pair

shell:roles="network-admin vdc-admin vdc-operator"

리버베드

TACACS+(셸 프로파일)

특성:서비스 ;로컬 사용자 이름

값:rbt-exec;<사용자 이름>

사용법:사용자에게 읽기 전용 액세스 권한을 부여하려면 <username> 값을 모니터링하도록 설정해야 합니다.사용자에게 읽기-쓰기 액세스 권한을 부여하려면 <username> 값을 admin으로 설정해야 합니다.admin 및 monitor 외에 다른 어카운트가 정의된 경우 해당 이름을 반환하도록 구성합니다.

service

rbt-exec

local-user-name

monitor

service

rbt-exec

local-user-name

admin

WLC(Wireless LAN Controller)

RADIUS(권한 부여 프로파일)

특성: 서비스 유형

값:관리 (6) / NAS 프롬프트 (7)

사용법:사용자에게 WLC(Wireless LAN Controller)에 대한 읽기/쓰기 액세스 권한을 부여하려면 값이 Administrative여야 합니다.읽기 전용 액세스의 경우 값은 NAS-Prompt여야 합니다.

자세한 내용은 WLC(Wireless LAN Controller) 컨피그레이션의 관리 사용자에 대한 RADIUS 서버 인증 예를 참조하십시오.

Service-Type

NAS-Prompt

Service-Type

Administrative

DCNM(Data Center Network Manager)

인증 방법을 변경한 후 DCNM을 다시 시작해야 합니다.그렇지 않으면 네트워크 관리자 대신 네트워크 운영자 권한을 할당할 수 있습니다.

shell:roles = "network-operator"

cisco-av-pair=shell:roles="network-operator"

shell:roles = "network-admin"

cisco-av-pair=shell:roles="network-admin"

관련 정보

• 기술 지원 및 문서 − Cisco Systems
• TACACS+(Terminal Access Controller Access Control System)
• 원격 인증 전화 접속 사용자 서비스(RADIUS)
• RFC(Request for Comments)